Home  >  Informatique

Comment transmettre les logs du serveur Apache à WAZUH ?

wazuh apache logo

wazuh_apache_logo

Introduction

Nous allons voir comment transférer les logs du serveur web Apache vers Wazuh. Il y a des logs d’accès utilisateurs dans le dossier /var/log/apache que nous allons analyser par Wazuh.

Un agent Wazuh doit être déjà installé sur le serveur et transmet les logs de l’OS. Nous allons utiliser deux méthodes pour arriver à un même résultat.

Première méthode : modifier directement sur le serveur

  1. Se connecter sur le serveur apache
  2. Ouvrir le fichier /var/ossec/ossec.conf
  3. Ajouter ce bout de code

[pastacode lang= »bash » manual= »%20%20%3Clocalfile%3E%0A%20%20%20%20%3Clog_format%3Esyslog%3C%2Flog_format%3E%0A%20%20%20%20%3Clocation%3E%2Fvar%2Flog%2Fapache%2F*log%3C%2Flocation%3E%0A%20%20%3C%2Flocalfile%3E » message= » » highlight= » » provider= »manual »/]

Explication :

Ce bout de code indique à l’agent Wazuh de monitorer les fichiers /var/log/apache/*log, tous les fichiers ayant comme nom qui finit par log seront monitorés.

par exemple /var/log/apache/access_log et /var/log/apache/error_log 

pour info si vous êtes sur centos le répertoire de log apache est nommé httpd donc /var/log/httpd/*log

  • 4 relancer wazuh-agent

[pastacode lang= »bash » manual= »systemctl%20restart%20wazuh-agent » message= » » highlight= » » provider= »manual »/]

Deuxième méthode : par la configuration centralisée

Cette méthode permet une gestion centralisée des configurations des agents, pour une meilleure gestion et simplification.

  1. Au préalable l’agent devra être déjà installé sur le serveur apache.
  2. Se connecter a l’interface web de Wazuh
  3. Aller dans le menu : Management > groups

wazuh_groups

 

Cliquez sur le groupe default, vous devriez voir le nom de votre serveur apache dans la liste. Vous pouvez aussi créer un nouveau groupe WEB et ajouter votre agent dedans.

Ensuite allez dans l’onglet Files et cliquez sur l’œil de la ligne agent.conf

wazuh_agent_group_add

 

Enfin, ajouter le même bout de code vu en première méthode :

[pastacode lang= »bash » manual= »%20%20%3Clocalfile%3E%0A%20%20%20%20%3Clog_format%3Esyslog%3C%2Flog_format%3E%0A%20%20%20%20%3Clocation%3E%2Fvar%2Floag%2Fapache%2F*log%3C%2Flocation%3E%0A%20%20%3C%2Flocalfile%3E » message= » » highlight= » » provider= »manual »/]

 

Sauvegarder : SAVE

Votre agent redémarrera automatiquement.

Maintenant dans le module Sécurity Events vous pouvez voir des messages venant de votre agent apache

wazuh_apache

Bonne bidouille !

Tags:

Share

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Post comment